Violation des données d'Aadhaar : 20 100 détails d'utilisateurs publiés sur le site Web du gouvernement du Pendjab
Publié: 2017-08-08En avril 2017, les données Aadhaar de 1,4 million d'utilisateurs ont été exposées au Jharkhand
Une entité gouvernementale du Pendjab a publié les détails Aadhaar de 20 100 citoyens sur son site officiel. Ces détails incluent les numéros Aadhaar, les noms d'utilisateur et le nom de leur père. Les données appartiennent aux personnes qui ont demandé un logement à bas prix à Ludhiana et Jagraon au Pendjab.
Le site Web appartient à la Greater Ludhiana Area Development Authority (GLADA) . Les listes exposées concernaient les candidats des maisons EWS, c'est-à-dire les candidats issus des sections économiquement les plus faibles et qui avaient remporté leurs allocations lors d'un tirage au sort. Le tirage au sort et le schéma ultérieur ont été prévus par le Pradhan Mantri Awas Yojana.
Bien qu'il n'y ait pas de clarté quand les listes ont augmenté, elles ont été retirées hier de la page d'accueil. Selon les médias, les listes sont disponibles sur le serveur du site Web de GLADA, ce qui facilite leur obtention pour toute personne ayant accès au lien direct.
Commentant le développement, l'administrateur en chef de GLADA, Parminder Singh Gill , a déclaré: «J'ai parlé au responsable concerné qui m'a informé qu'aucun numéro de carte Aadhaar n'avait été téléchargé sur le site Web. Le site Web de GLADA est exploité au siège de la PUDA (Punjab Urban Development Authority) à Mohali. Nous essayons de contacter le siège à cet égard.
Selon le site officiel, l'Unique Identification Authority of India (UIDAI) est une autorité statutaire établie en vertu des dispositions de la loi Aadhaar (Targeted Delivery of Financial and Other Subsidies, Benefits and Services) Act, 2016 ("Aadhaar Act 2016") sur 12 juillet 2016 par le gouvernement indien, sous l'égide du ministère de l'électronique et des technologies de l'information (MeitY). Il s'agit d'un numéro d'identité à 12 chiffres fourni dans le cadre de l'UIDAI , lié aux détails biométriques d'un citoyen et devenu obligatoire pour bénéficier des services gouvernementaux, tels que le dépôt de déclarations de revenus, la réservation de billets de train sur l'IRCTC, l'ouverture d'un compte bancaire, etc.
Mais, en raison d'un manque perçu de normes de cybersécurité du pays, les experts et les militants estiment que la liaison de ces informations au numéro Aadhaar peut exposer des informations privées et sensibles à des crimes tels que le vol d'identité, le piratage, etc. La Cour suprême de l'Inde est également en train de déterminer si le programme viole le droit à la vie privée d'un citoyen indien.
Selon l' article 29 (4) de la loi Aadhaar , aucun numéro Aadhaar ou information biométrique de base ne peut être publié, affiché ou publié publiquement, sauf à des fins spécifiées. Comme l'a déclaré Satish Thaman , membre du comité de réparation des griefs du district de Ludhiana (sous-division ouest), « Si un ministère a publié une liste de candidats avec leurs numéros Aadhaar, leurs informations peuvent être divulguées. C'est une grave menace pour la vie privée des résidents, car les informations d'Aadhaar peuvent être utilisées à mauvais escient.
Recommandé pour vous:
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Les startups indiennes prennent des raccourcis à la recherche de financement
La plate-forme de marketing numérique Logicserve met en sac un financement INR 80 Cr et se rebaptise LS Dig ...
Fuites de données Aadhaar : Jharkhand et UIDAI citent des violations comme le Pendjab
Ces derniers temps, la sécurité du système Aadhaar a été remise en question à plusieurs reprises. En avril 2017, les détails Aadhaar de 1,4 million d'utilisateurs enregistrés ont été rendus publics à la Direction de la sécurité sociale du Jharkhand . Ces détails comprenaient des informations sensibles telles que les noms, adresses, coordonnées bancaires et numéros Aadhaar. Ce qui était plus surprenant, c'est que les responsables gouvernementaux n'ont pas pu prendre de mesures correctives après plus de 24 heures lorsque la violation a été signalée.
Encore plus récemment, le co-fondateur de Qarth Technologies, Abhinav Srivastava, a été arrêté la semaine dernière par la Central Crime Branch de Bengaluru pour vol de données d'Aadhaar. Selon la plainte, Srivastava a illégalement accédé aux données UIDAI via une application mobile "Aadhaar e-KYC verification" qu'il a lui-même développée. Les employés de Qarth ont été accusés d'avoir développé une application et d'avoir accédé à des détails sur le site Web officiel sans authentification et ont fourni les mêmes informations que les informations e-KYC. Abhinav est accusé d'avoir accédé illégalement aux informations liées à Aadhaar, hébergées par le serveur NIC, aux mécréants. Il avait accédé aux données via un site Web d'hôpital en ligne.
Les enquêtes préliminaires révèlent que Srivastava a développé une application mobile qui a fourni la «vérification Aadhaar e-KYC» en accédant aux données hébergées sur le serveur du National Informatics Center (NIC).
Selon des rapports récents, Srivastava a donné une démonstration étape par étape de six heures aux détectives sur la façon dont il a réussi à pirater le site Web d'Aadhaar. Dans sa démonstration, Abhinav Srivastava a déclaré avoir profité de l'absence de protocole de transfert hypertexte sécurisé (HTTPS) dans l'URL du site Web d'Aadhaar. Un autre rapport affirme qu'Abhinav a utilisé des raccourcis pour accéder aux données de divers sites Web qui utilisaient les données d'Aadhaar.
Saket Modi, fondateur de Lucideus Technologies, une entreprise qui a travaillé en étroite collaboration avec le gouvernement indien pour assurer la faisabilité et la sécurité du système Aadhaar, avait déclaré lors d'une précédente interaction avec Inc42 : « Aadhaar est un système d'API ouvert. En fait, je le compare à l'iStore ou à l'Apple Play Store il y a 10 ans lorsqu'ils ont été lancés récemment. Ils ont permis à l'ensemble de la race humaine de disposer d'une plate-forme ouverte de ressources à utiliser par les développeurs pour créer leurs propres applications. » Selon Modi, la beauté d'Aadhaar est qu'il n'est pas fermé. Mais, en termes de sécurité, il est proche de l'un des meilleurs systèmes de sécurité standard.
"Oui, les numéros de carte Aadhaar ont été rendus publics, mais ils sont alors comme des identifiants de messagerie. Le simple fait d'avoir l'Aadhaar de quelqu'un ne vous permet pas de faire une fraude ou une transaction », ajoute-t-il.
Alors que la défense de la plate-forme par Modi semble relativement solide, d'autant plus qu'il a comparé les numéros Aadhaar eux-mêmes aux identifiants de messagerie ; il est troublant de constater que d'autres détails liés à l'UIDAI, tels que les numéros de compte bancaire, les coordonnées familiales, etc. peuvent être consultés par ceux qui en ont les moyens. Alors que la Cour suprême débat de la question Aadhaar en ce qui concerne la vie privée, il est temps que le gouvernement, à la fois les États nationaux et les États concernés tels que le Pendjab et le Jharkhand, examine également les failles de ses systèmes de gouvernance électronique qui permettent à un point de données autant d'informations et le pouvoir et pourtant a une sécurité si laxiste.
(Ce développement a été rapporté par Hindustan Times)